qsnatch.... es trifft leider nicht nur die anderen...

[Joogibaer]

Ein schöner Start in die neue Woche sieht anders aus, trotzdem wünsche ich euch selbigen...

Heute morgen erhielt ich eine Email vom Telefonanbieter, BSi hätte Auffälligkeiten festgestellt, Meldung qsnatch...

Direkt beim Anbieter angerufen, dachte das wäre Fake, nein....

Es könnte jedes Gerät in meinem Netzwerk sein was am Netz hängt meinten die, jetzt mal gegoogelt und am warscheinlichsten ist ja wohl mein NAS....

Alle Ports der FB geschlossen, die Kindersicherung eingerichtet und somit den Internetzugriff für meine Synology gesperrt.

Ich gehe also mal davon aus, dass ich diese Malware auf meiner DS Habe, aber was denn nun? Klar kann ich alles neuaufsetzen und ein Backup drauf spielen, aber dann spiele ich doch auch die Malware mit drauf?

Bin gerade ein wenig ratlos und deprimiert, dachte eigentlich das alles sicher ist....
Der Sicherheitsberater hatte auch nichts zu meckern... Die neuste Firmware war installiert, kann also auch nicht eine Ursache gewesen sein, ....

Ich habe auch nichts gefunden hinsichtlich mal ware entfernen bei Synology, die Mitbewerber haben da ja tools für....???

Vielleicht kann mir jemand einen guten Tip geben?

Gruß Joogi

 

[peterhoffmann]

Soweit ich jetzt quergelesen habe, befällt qsnatch nur QNAP-Geräte.

Was läuft auf deiner DS?
Welche Sachen hast du installiert? Alles nur über das Paketzentrum?
Auch mal über SSH dir "top" angeschaut? Sind da vielleicht Prozesse, die auffällig sind?

 

[Speicherriese]

Ich habe meine 918+ auch komplett zugenagelt, bis zur Zweistufen Verifizierung. Der Virenscanner läuft einmal die Woche komplett durch. Ich habe mir einige Viedeos diesbezüglich vorher angesehen und alles umgesetzt was geht.
Aber das eine Malware jetzt auf dem NAS aktiv ihr unwesen treibt kann ich mir jetzt eigentlich auch nicht vorstellen, zumal ja Linux drunter ist. Bei einer Windows Kiste würde ich die jetzt sofort aus dem Fenster kippen.
Ich würde jetzt alle meine Geräte sukzessiv komplett mit allem möglichen durchscannen, auch Smartphones ( Android wurde eh zum unsichersten Betriebssystem der Welt gekührt) und erst wenn ich überall nichts finde würde ich mich dann doch über das NAS hermachen.

 

[Ulfhednir]

Aber das eine Malware jetzt auf dem NAS aktiv ihr unwesen treibt kann ich mir jetzt eigentlich auch nicht vorstellen, zumal ja Linux drunter ist.

QNAP setzt auch auf Linux und trotzdem gibt es q(nap)snatch. Die Suche kann allerdings trotzdem hakelig werden.
Wenn ich mir vorstellen würde, dass ich einen Befall hätte, würde ich massiv abkotzen. Es kommt ja in SmartHome-Zeiten jedes Gerät in Frage...
Ob Receiver, Alexa , IP-Cam, WLAN-Glühlampen (!) oder die Spielekonsole...

Im Zweifelsfall müsste der Traffic mitgeschnitten werden und mit Wireshark ausgewertet werden, ggf. könnte auch ein Pi-hole helfen, um häufige Anfragen herauszufinden. Ich würde jetzt auch erst einmal den Internetzugriff für die einzelnen Devices per Fritzbox beschneiden.

 

[Jagnix]

Vielleicht kann mir jemand einen guten Tip geben?

Erstelle bitte ein Ticket bei Synology.

 

[blurrrr]

Evtl. mal ClamAV drüberjagen und/oder rkhunter... Alternativ Syno direkt komplett platt machen und Sicherung wieder zurückspielen.

Ticket bei Synology aufzumachen verhält sich grade so ein bisschen wie Microsoft anrufen, wenn man sich einen Virus eingefangen hat

 

[geimist]

Das sehe ich nicht so. Die Wahrscheinlichkeit, sich etwas auf der DS einzufangen ist ja unvergleichbar geringer. Sofern die Bedrohung real ist, wird Synology versuchen, die vermeintliche Lücke zu identifizieren und zu schließen. Gerade dafür wäre es gut, sie könnten auf die DS schauen, BEVOR sie zurückgesetzt ist.

 

[ottosykora]

Aber das eine Malware jetzt auf dem NAS aktiv ihr unwesen treibt kann ich mir jetzt eigentlich auch nicht vorstellen, zumal ja Linux drunter ist.

das wäre ja nichts neues, es gab schon Malware für Synology. Ist schon eine Zeit her, aber warum nicht?

 

[blurrrr]

Sicherlich kann man die Büchse auch erst noch wochenlang im Netz rumgeistern lassen und auch die vom ISP verhängten Einschränkungen in Kauf nehmen, kein Problem... (ist ja auch nicht der eigene Anschluss)

 

[geimist]

Zum einen glaube ich nicht, dass sich der Support wochenlang Zeit für eine Antwort nehmen würde und zum anderen kann man sie ja bis dahin auch Herunterfahren …

Vielleicht kann ja @Syno-OS etwas dazu sagen

 

[Joogibaer]

Soweit ich jetzt quergelesen habe, befällt qsnatch nur QNAP-Geräte.

Was läuft auf deiner DS?
Welche Sachen hast du installiert? Alles nur über das Paketzentrum?
Auch mal über SSH dir "top" angeschaut? Sind da vielleicht Prozesse, die auffällig sind?

Also bewusst habe ich nur Sachen über das Paketzentrum installiert.

Das mit den Prozessen verstehe ich leider nicht

 

[Joogibaer]

Ich habe meine 918+ auch komplett zugenagelt, bis zur Zweistufen Verifizierung. Der Virenscanner läuft einmal die Woche komplett durch. Ich habe mir einige Viedeos diesbezüglich vorher angesehen und alles umgesetzt was geht.
Aber das eine Malware jetzt auf dem NAS aktiv ihr unwesen treibt kann ich mir jetzt eigentlich auch nicht vorstellen, zumal ja Linux drunter ist. Bei einer Windows Kiste würde ich die jetzt sofort aus dem Fenster kippen.
Ich würde jetzt alle meine Geräte sukzessiv komplett mit allem möglichen durchscannen, auch Smartphones ( Android wurde eh zum unsichersten Betriebssystem der Welt gekührt) und erst wenn ich überall nichts finde würde ich mich dann doch über das NAS hermachen.

Das ist halt die Frage:

Virenscanner hatte ich tatsächlich noch keinen drauf auf dem NAS, heute nachgeholt.
Das schlimme ist, in der Mail stand ja leider nicht welches Gerät... da aber die Malware hauptsächlich NAS befällt, war das das naheliegenste.
Ich wüsste sonst auch nicht, wo ich anfangen sollte...

 

[geimist]

Virenscanner hatte ich tatsächlich noch keinen drauf auf dem NAS, heute nachgeholt.

Davon darfst du dir auch nicht zu viel erwarten - es handelt sich hier um keinen Echtzeitscanner. Aber in deinem Fall ist es sicherlich das Beste, den mal manuell über alles drüberlaufen zu lassen.

 

[Joogibaer]

QNAP setzt auch auf Linux und trotzdem gibt es q(nap)snatch. Die Suche kann allerdings trotzdem hakelig werden.
Wenn ich mir vorstellen würde, dass ich einen Befall hätte, würde ich massiv abkotzen. Es kommt ja in SmartHome-Zeiten jedes Gerät in Frage...
Ob Receiver, Alexa , IP-Cam, WLAN-Glühlampen (!) oder die Spielekonsole...

Im Zweifelsfall müsste der Traffic mitgeschnitten werden und mit Wireshark ausgewertet werden, ggf. könnte auch ein Pi-hole helfen, um häufige Anfragen herauszufinden. Ich würde jetzt auch erst einmal den Internetzugriff für die einzelnen Devices per Fritzbox beschneiden.

Genau das ist mein Problem.... Es ist alles vorhanden, von Alexa, über KNX Server über Handys, Tablets, selbst Waschmaschine und Kühlschrank sind im Wlan verbunden wegen Homematic

Traffic mitschneiden? Ich bin leider eher Anwender und wüsste echt nicht was du meinst Pi-Hole?
Habe alle Portweiterleitungen gekappt, bis auf die Playstation...

Die Synology habe ich wie gesagt auch gesperrt vom Internet.....

 

[Joogibaer]

Evtl. mal ClamAV drüberjagen und/oder rkhunter... Alternativ Syno direkt komplett platt machen und Sicherung wieder zurückspielen.

Ticket bei Synology aufzumachen verhält sich grade so ein bisschen wie Microsoft anrufen, wenn man sich einen Virus eingefangen hat

Ja das ist ja auch meine Überlegung, was ja kein Problem wäre, aber würde ich die Malware dann nicht mir zurück sichern???

Ticket halte ich auch für, naja, mmmhhh..

 

[geimist]

In der Sicherung ist in erster Linie die Konfigurationsdatei und deine Daten. Das Betriebssystem als solches wird nicht gesichert. Die Frage ist: wo hat sich der Bösewicht versteckt?

 

[Joogibaer]

Erstelle bitte ein Ticket bei Synology.

Es gibt kein passendes Schlagwort, so dass ich gar keins erstellen kann

 

[Joogibaer]

In der Sicherung ist in erster Linie die Konfigurationsdatei und deine Daten. Das Betriebssystem als solches wird nicht gesichert. Die Frage ist: wo hat sich der Bösewicht versteckt?

Wenn ich wüsste, dass es so wäre, dann wäre alles gut....

Problem ist ja auch, ich habe bis zum 10.08. Zeit das Problem zu behehen, sonst sperrt mich mein Anbieter... Hielt es echt für Fake, aber das war Ernst gemeint

 

[geimist]

Es gibt kein passendes Schlagwort, so dass ich gar keins erstellen kann

https://www.synology.com/de-de/security/advisory

 

[geimist]

Am Rande noch eine Frage zu deiner Signatur:
Hast du wirklich 6.2 Update 2 installiert? Dieser Stand ist ziemlich genau 2 Jahre alt.
Oder doch das aktuelle 6.2.3 Update 2?